Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Делопроизводство и архив
  3. Современное делопроизводство

Кто и как отвечает в организации за работу с персональными данными

0
Журнал «Делопроизводство и документооборот на предприятии» № 4 / 2024
Юлия Жижерина
юрист по трудовому праву
Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Ответственный за организацию работы с персональными данными

Работодатель обязан назначить ответственного за организацию обработки персональных данных1. Как это сделать:

  • надо издать приказ о его назначении (показан в Примере 2) и
  • прописать его обязанности в должностной инструкции (инструкции по профессии) или трудовом договоре (образец формулировок см. в Примере 1).

Эти документы обязательно попросят предъявить и в случае проверки Роскомнадзора, и при судебных разбирательствах.

Пример 1. Формулировка для должностной инструкции ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Пример 2. Приказ о назначении ответственного за организацию обработки персональных данных лица
Приказ об ответственном за обработку персональных данных Скачать документ
Связанный материал
Как документировать уничтожение персональных данных
№ 04 / 2024

См. статью «Как документировать уничтожение персональных данных» в № 4’ 2024

Кто имеет доступ к персональным данным

Кроме ответственного за организацию процесса работы, есть еще круг людей, которые имеют доступ к персональным данным. Обычно это право дается сотрудникам, которым нужны персональные данные других работников в связи с выполнением трудовых обязанностей, например для ведения кадрового или налогового учета, для работы с документами, содержащими персданные (поэтому сотрудники службы делопроизводства и архива тоже оказываются в их числе). Перечень лиц, имеющих доступ и непосредственно допущенных к работе с персональными данными, должен быть утвержден работодателем (в силу ст. 88 ТК РФ), его можно включить в текст приказа или сделать приложением к нему.

Кроме того, надо утвердить перечень работников, имеющих доступ к персональным данным в информационной системе (в силу подп. «в» п. 13 Требований, утв. постановлением Правительства РФ от 01.11.2012 № 1119).

Оба перечня можно объединить в один приказ – этот вариант показан в Примере 3.

Фрагмент документа

Статья 88 «Передача персональных данных работника» Трудового кодекса Российской Федерации

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

...предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности)...

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций...

Фрагмент документа

Пункт 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119)

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации...

По аналогии с ответственным за организацию работы с персональными данными у людей, имеющих доступ к персданным, тоже должны быть специально оговоренные обязанности, которые те должны выполнять. Обычно это делается в должностной инструкции (инструкции по профессии) или в трудовом договоре. Как это можно сформулировать, показано в Примере 4.

Пример 3. Приказ, утверждающий перечень лиц, допущенных к работе с персональными данными
Приказ об утверждении перечня работников, допущенных к персональным данным Скачать документ

Пример 4. Формулировки в должностной инструкции работника, имеющего доступ к персональным данным

5. Работник обязан:

<. . .>

  • соблюдать и исполнять требования законодательства и локальных нормативных актов о защите, хранении, обработке и передаче персональных данных работников и законодательства РФ в области персональных данных, в том числе относящиеся к обязанностям Работодателя, действуя от его имени;
  • сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей;
  • не отвечать на вопросы, связанные с передачей персональных данных других Работников, третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей;
  • незамедлительно сообщать своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя (в Филиале), обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.);
  • по всем вопросам, связанным с обработкой и защитой персональных данных, обращаться к своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя.

Кто и сколько будет платить за нарушения?

Сейчас действуют крупные штрафы за нарушения в области работы с персональными данными, причем штрафуют как организацию, так и ответственное должностное лицо (в основном по ст. 13.11 КоАП РФ). Кого здесь имеют в виду? В первую очередь это тот самый ответственный за организацию работы с персональными данными, который должен быть назначен в каждой организации. Если он все-таки не назначен, то ответственным, скорее всего, посчитают руководителя организации.

В Таблицу 1 мы свели действующие штрафы по ст. 13.11 КоАП РФ для юрлиц и должностных лиц (оставив за скобками штрафы для физлиц и ИП, которые, кстати сказать, тоже существуют). Но самая печальная новость заключается в том, что работа над очередным существенным повышением уже идет – соответствующий законопроект 23.01.2024 прошел 1-е чтение в Госдуме РФ. Размер фигурирующих там штрафов не окончательный, хотя уже понятно, что они увеличатся принципиально. И это говорит о всей серьезности темы.

Связанный материал
Ужесточение наказаний за нарушения в работе с персональными данными
01 апреля 2024

См. новость «Ужесточение наказаний за нарушения в работе с персональными данными» в № 4’ 2024
Связанный материал
Руководство Росархива по соблюдению требований законодательства об архивном деле (и штрафы за их нар...
01 апреля 2024

См. новость «Руководство Росархива по соблюдению требований законодательства об архивном деле (и штрафы за их нарушение)» в № 4’ 2024

Таблица 1. Действующие штрафы за нарушения в области работы с персональными данными по ст. 13.11 КоАП РФ

Таблица 2. Действующие штрафы за незаконное распространение сведений о защищаемых лицах по ст. 17.13 КоАП РФ

Еще в 2022 году депутат Госдумы Александр Хинштейн отмечал: «Обнаруженный Роскомнадзором взрывной рост утечек персональных данных граждан России “в высокой степени связан с СВО”. Коллеги из Роскомнадзора уверены (и я с ними согласен), что спецслужбы противника ведут системный сбор баз данных россиян для различных военных и специальных задач»2. Далее последовало увеличение в несколько раз штрафа за обработку персданных без письменного согласия на это человека либо если такое согласие не содержит всех необходимых сведений (по ч. 2 и 2.1 ст. 13.11 КоАП РФ). Оцените динамику:

  • у организаций штраф:
    • был от 30 до 150 тыс. руб. (за повторное нарушение от 300 до 500 тыс. руб.),
    • стал от 300 до 700 тыс. руб. (за повтор – от 1 млн до 1,5 млн руб.);
  • у должностных лиц штраф:
    • был от 20 до 40 тыс. руб. (за повтор – от 40 до 100 тыс. руб.),
    • стал от 100 до 300 тыс. руб. (за повтор – от 300 до 500 тыс. руб.).

И это не предел! Законопроект № 502104-8, который сейчас рассматривает Госдума РФ3, хочет стимулировать компании вкладывать в развитие инфраструктуры информационной безопасности и защиту персональных данных своих пользователей, чтобы воспрепятствовать массовым спам-звонкам, нежелательным рассылкам, шантажу и мошенническим схемам. Планируют:

  • установить наказание в зависимости от количества людей, чьи персональные данные «утекли»;
  • за повторные нарушения дойдет и до оборотных штрафов (процент от всей выручки компании за предыдущий год);
  • установить ответственность для оператора за неуведомление Роскомнадзора:
    • об обработке персданных;
    • о выявленной у себя «утечке» персданных.

Статья 13.11 охватывает основную массу случаев с нарушениями в работе с персональными данными. Кроме нее, в КоАП РФ есть еще ст. 17.13, которая акцентирует внимание на персданных защищаемой категории лиц – судей, правоохранителей, военных4 (см. Таблицу 2).

Связанный материал
Защита персональных данных: новая порция изменений
№ 10 / 2022

В 3 раза сократили срок ответа на обращения граждан об обработке их персональных данных, а также на выполнение ряда других действий организацией. Об этих и других изменениях читайте в статье «Защита персональных данных: новая порция изменений» в № 10’ 2022
Связанный материал
Персональные данные потребителей – изменения в законе
№ 08 / 2022

См. статью «Персональные данные потребителей – изменения в законе» в № 8’ 2022: к чему надо успеть подготовиться до 01.09.2022 организациям, которые собирают данные своих клиентов; на какие вопросы потребителя и за сколько дней надо отвечать

Добавим сюда еще уголовное наказание, которое сейчас тоже планируют ужесточить5. Этот законопроект тоже пока прошел только 1-е чтение в Госдуме РФ – 23.01.2024, одновременно с законопроектом № 502104-8 об ужесточении ответственности в КоАП РФ. В Уголовный кодекс РФ следом за ст. 272 «Неправомерный доступ к компьютерной информации» планируют добавить «специальную» ст. 272.1, по которой будут наказывать за незаконный сбор, передачу, использование компьютерной информации, содержащей персональные данные:

  • кроме крупных штрафов,
  • дело дойдет до дисквалификации (лишения права занимать определенные должности или заниматься определенной деятельностью) и
  • лишения свободы до 5 лет! А в случае тяжких последствий – и до 10 лет!

Под статьи УК РФ могут попасть любые физлица, вина которых будет доказана. Крупный ущерб, действие в составе группы и использование служебного положения только усугубят ситуацию.

Как видите, ответственность могут понести не только гендиректор и ответственный за организацию работы с персональными данными (о котором мы говорили в начале статьи). Остальные участники процесса тоже должны быть внимательными.

Если сотрудник допущен к работе с персональными данными (см. Пример 3) и в его обязанностях это прописано (Пример 4), то за нарушение таких обязанностей он может быть подвергнут дисциплинарной ответственности – и это самое маленькое из возможных «приключений»:

  • замечание,
  • выговор или
  • увольнение.

Сноски 5

  1. Часть 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – ​Закон № 152‑ФЗ. Вернуться назад
  2. https://tsargrad.tv/news/v-rossii-obnaruzhili-utechku-230-mln-lichnyh-dannyh-hinshtejn-podozrevaet-specsluzhby-zapada_625038 Вернуться назад
  3. https://sozd.duma.gov.ru/bill/502104-8 Вернуться назад
  4. Перечень защищаемых лиц установлен в Федеральном законе «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» от 20.04.1995 № 45-ФЗ. Вернуться назад
  5. Законопроект № 502113 см. на https://sozd.duma.gov.ru/bill/502113-8 Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Как документировать уничтожение персональных данных

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

Марина Дячук
частнопрактикующий юрист

Номер телефона сотрудника - это персональные данные?

Делопроизводство и архив
№ 01 / 2024

С коллегами возник спор, является ли номер телефона сотрудника персональными данными и можем ли мы его запрашивать у сотрудника и указывать в кадровых документах. Например, в личном деле, в трудовом договоре, допсоглашении и пр. Помогите разобраться, чтобы ничего не нарушить.

София Иванова
руководитель юридического отдела компании МКПЦ

Нужны ли согласия для хранения персданных опекаемых и опекунов?

Делопроизводство и архив
№ 03 / 2024

Веду архив в организации, и у меня возник вопрос касательно персональных данных. Включаем ли мы персональные данные (скан паспорта, СНИЛСа, свидетельства о рождении, о браке, о расторжении брака и т.д.) в дело, если это документы опекаемых или опекунов?

София Иванова
руководитель юридического отдела компании МКПЦ

Примеры согласий работников на обработку персональных данных «на все случаи жизни» (часть 2)

Делопроизводство и архив
№ 11 / 2023
Оформление документов

Показываем, как составить 9 вариантов согласий работников на обработку их персональных данных: на обработку биометрических данных (при оформлении пропуска), персональных данных членов семьи работника, специальной категории персданных, их передачу третьим лицам или сбор у них, на распространение и др. Объясняем, когда требуется оформить отдельные согласия и как все-таки можно несколько согласий объединить в едином документе. Предупреждаем о крупных штрафах за ошибки. Приводим сроки хранения.

Екатерина Краецкая
частнопрактикующий юрист

Как документировать уничтожение персональных данных

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

Марина Дячук
частнопрактикующий юрист

Примеры согласий работников на обработку персональных данных «на все случаи жизни» (часть 2)

Делопроизводство и архив
№ 11 / 2023
Оформление документов

Показываем, как составить 9 вариантов согласий работников на обработку их персональных данных: на обработку биометрических данных (при оформлении пропуска), персональных данных членов семьи работника, специальной категории персданных, их передачу третьим лицам или сбор у них, на распространение и др. Объясняем, когда требуется оформить отдельные согласия и как все-таки можно несколько согласий объединить в едином документе. Предупреждаем о крупных штрафах за ошибки. Приводим сроки хранения.

Екатерина Краецкая
частнопрактикующий юрист

Отметка о поступлении и отметка о вручении документа – разные вещи

Делопроизводство и архив
№ 06 / 2022
Современное делопроизводство

Делопроизводственный реквизит «отметка о поступлении документа» в организацию (с входящим номером) кардинально отличается от юридической отметки о получении / вручении документа (с подписью): как по назначению, так и по составу элементов (общая у них только дата). Показываем несколько вариантов их оформления. Обязана ли организация-получатель ставить их на экземпляре отправителя. Как убедить суд в факте вручения документа адресату при его отправке курьером, через «Почту России» или по электронной почте.

Валентина Янковая
канд. ист. наук, доцент Российского государственного гуманитарного университета
Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Ответственность за несдачу документов в госархив при ликвидации организации

Делопроизводство и архив
№ 06 / 2022

Указан ли в каком-либо нормативном документе факт необходимости предоставления справки (либо иного документа), подтверждающей сдачу документов (документы постоянного хранения и по личному составу) в государственный архив при ликвидации организации? Может ли арбитражный суд (при банкротстве) или налоговая требовать необходимой передачи документов ликвидируемой организации в государственный (или муниципальный) архив? На что можно сослаться, кроме Закона № 125-ФЗ об архивном деле?

Вера Иритикова
профессиональный управляющий документами, документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ